Google a pris la décision de supprimer une application qui a pour nom Showcase et qui est installée sur la plupart des smartphones Pixel. Cela fait suite à une découverte par les chercheurs en sécurité d’iVerify.
Une application non sécurisée sur les Pixel
Showcase est une application (APK) qui est pré-chargée sur les Pixel depuis 2017. L’application a été développée par Smith Micro pour le compte de Verizon et a été utilisée pour lancer un mode de démo l’appareil, afin que le téléphone soit utilisable dans les magasins.
Le problème de l’application est son fonctionnement. L’application télécharge un fichier de configuration par le biais d’une connexion non sécurisée (HTTP) et peut être manipulée pour exécuter du code au niveau du système. L’application récupère le fichier de configuration à partir d’un seul domaine basé aux États-Unis et hébergé par Amazon Web Services (AWS). Étant donné que cela passe en HTTP et non en HTTPS, cela peut rendre la configuration vulnérable.
Le fonctionnement de l’application rend des millions d’appareils Pixel vulnérables aux attaques de type « man-in-the-middle », ce qui permet aux hackers d’injecter du code malveillant et des logiciels espions. Les pirates peuvent utiliser les vulnérabilités de l’infrastructure de l’application pour exécuter du code ou des commandes shell avec des privilèges système afin de prendre le contrôle des appareils Android pour perpétrer des actes malveillants.
Il y a un point « positif » dans l’histoire : l’application, bien que pré-chargée sur tous les Pixel, est désactivée par défaut. Il faut avoir un accès physique au téléphone pour l’activer.
L’équipe d’iVerify a prévenu Google au mois de mai au sujet de cette application Showcase posant problème. La société la supprimera d’ici quelques semaines. Google a également confirmé que l’application n’est plus utilisée par Verizon ou Google, et qu’il n’y a aucune preuve d’une exploitation active de la vulnérabilité par des hackers.
